„EU-US Privacy Shield“ das neue „Safe Harbor“?

von

_DSF0463Die von den deutschen Aufsichtsbehörden für den Datenschutz eingeräumte Schonfrist für eine Neuregelung von Datenübermittlungen und Datenverarbeitungen im Auftrag in den USA ist am 31. Januar 2016 abgelaufen. Die EU-Kommission hat nun am 2. Februar unter der Bezeichnung „EU-US Privacy Shield“ ein neues Datenschutzabkommen mit der US-Regierung angekündigt. Die Details des Abkommens werden in den nächsten Wochen noch ausgearbeitet (weitere Informationen).
Am 2./3. Februar hat nun die Art.-29-Datenschutzgruppe der EU-Kommission (WP 29) getagt. Die wesentlichen Ergebnisse stehen in deutscher Sprache hier zur Verfügung:

„Die Datenschutzgruppe hat ihre Bewertung im Lichte der europäischen Rechtsprechung zu den Grundrechten vorgenommen, in der in Bezug auf nachrichtendienstliche Tätigkeiten vier wesentliche Garantien abgegeben werden:
A. Die Datenverarbeitung sollte auf eindeutigen, präzisen und öffentlich zugänglichen Regeln basieren: Dies bedeutet, dass jeder, der angemessen informiert wurde, absehen können sollte, was im Zuge der Übermittlung mit seinen Daten passieren wird.
B. Notwendigkeit und Verhältnismäßigkeit im Hinblick auf die berechtigten Ziele müssen unter Beweis gestellt werden: Es muss ein Gleichgewicht zwischen dem Ziel, dem Datenerhebung und -zugriff  dienen (in der Regel nationale Sicherheit), und den Rechten des Einzelnen gefunden werden.
C. Es sollte einen unabhängigen Kontrollmechanismus geben, der sowohl wirksam als auch unparteiisch ist: Dabei kann es sich entweder um einen Richter oder ein anderes unabhängiges Gremium handeln, sofern dieser bzw. dieses in ausreichendem Maße fähig ist, die erforderlichen Kontrollen auszuführen.
D. Dem Bürger müssen wirksame Rechtsbehelfe zur Verfügung stehen: Jeder sollte das Recht haben, seine Rechte vor einem unabhängigen Gremium zu verteidigen.“

Die EU-Kommission wird der Gruppe 29 bis Ende Februar Dokumente zum neuen „EU-US Privacy Shield“ vorlegen, um die rechtlichen Instrumente für Transfers personenbezogener Daten in die USA bis Ende April abschließend zu bewerten. Bis dahin sollen die bisherigen Instrumente, z.B. EU-Standardverträge und BCR (Binding Corporate Rules), weiterhin anwendbar bleiben.
Die Bundesregierung hat zudem auf eine Anfrage der Fraktion DIE LINKE erklärt, dass sie die Übermittlung personenbezogener Daten auf der Grundlage der EU-Standardverträge, von BCRs sowie einer Einwilligung der Betroffenen für zulässig hält (Bundestagsdrucksache Nr. 18/7134).